Trata-se de uma vulnerabilidade crítica que permite a um hacker executar código remotamente no equipamento da vítima. Apesar do bug ter sido corrigido na última versão, descobriu-se agora que é possível enganar o patch que corrigia o problema
A popular suite de aplicações para escritório disponível para Windows, Unix, Solaris, Linux e Mac OS, LibreOffice, apresenta uma vulnerabilidade crítica (ainda sem patch) que possibilita a infeção com malware, bastando para tal abrir um documento malicioso.
Apesar de no início deste mês ter sido lançada a versão 6.2.5 na qual era reparada, entre outras, esta vulnerabilidade (CVE-2019-9848), o investigador em segurança Alex Inführ descobriu uma forma de evadir o patch que supostamente reparava este bug crítico na última versão da suite, o qual possibilita a execução de código arbitrário no equipamento da vítima.
Apesar do investigador não ter revelado detalhes da técnica que permite evadir o patch que repara a vulnerabilidade, a ameaça que representa o bug continua a ser a mesma, publicou o TheHackerNews.
De forma pré-determinada, o LibreOffice vem com o LibreLogo, uma macro para mover gráficos vetoriais que são executados através de um script personalizado que pode ser manipulado para executar comandos em phyton de forma arbitrária num documento, sem aviso prévio e de forma silenciosa.
Segundo explicou num post o investigador Nils Emmerich, que foi quem reportou o bug numa primeira instância, o LibreLogo executa código personalizado que internamente é traduzido em código Phyton e então executado, mas o problema é que o código não é traduzido de forma correta.
Assim, o LibreLogo permite a um utilizador especificar num documento scripts pré-instalados que podem ser executados através de distintos eventos, por exemplo, um mouseover (ação ativada quando o ponteiro do rato passa por um elemento).
Emmerich demonstrou isto mesmo e como um comando é executado apenas com o passar do ponteiro do mouse por um hyperlink que executa um comando, tal como se pode ver na Figura 1, com um comando para abrir a calculadora. A dita ação é levada adiante sem que apareça alguma mensagem prévia a perguntar ao utilizador se deseja executar o código ou não – é simplesmente executado. Desta mesma forma um atacante pode utilizar este evento para executar código ao abrir um documento, sem necessidade de utilizar uma ação como mouseover.
A recomendação até que o bug seja reparado é que faça a instalação no LibreOffice sem macros ou pelo menos sem o LibreLogo, diz Emmerich.